银行统一门户解决方案

银行统一门户解决方案

2016年12月

修订历史记录

目录

一、概述 (4)

二、用户分类模型 (4)

2.1基于部门岗位树的角色模型 (4)

2.2 级别分层树模型 (5)

三、用户信息存储管理 (6)

3.1 用户信息存储分类 (6)

3.2 LDAP目录服务定义 (7)

3.3、LDAP目录的结构 (8)

3.4、LDAP目录的存储内容 (10)

四、用户身份认证 (11)

4.1、认证类型 (11)

4.2、用户身份密码验证 (12)

4.3、与CA认证接口 (14)

4.4、用户登录控制 (15)

五、分布式用户目录管理 (16)

5.1、分布式目录服务体系 (16)

5.2、目录复制 (17)

六、统一用户信息的方式分类 (17)

七、用户信息同步 (18)

八、用户生命周期管理 (20)

8.1、新建用户 (20)

8.2、密码修改 (21)

8.3、删除用户 (21)

一、概述

目录管理是为了方便用户访问组织机构内所有的授权资源和服务，简化用户管理，基于LDAP或基于数据库，对组织机构内中所有应用实行统一的用户信息的存储、认证和管理。

统一用户目录管理要遵循以下两个基本原则：

★统一性原则：实现对目前已知用户类型进行统一管理；对包括分支机构在内的整个组织机构内的所有用户进行用户目录复制和统一管理；对门户的用户体系和各应用系统各自独立的用户体系进行统一管理；对新进员工/用户到员工/用户离开进行整个生命周期的管理。

★可扩充性原则：能够适应对将来扩充子系统的用户进行管理。

二、用户分类模型

2.1基于部门岗位树的角色模型

基于部门岗位树的角色模型是组织机构内最常见的模型，提供了用户目录管理、目录复制、权限控制的多种属性。角色管理是用户权限管理的重要基础。基于部门岗位树的角色模型如下所示：

在部门岗位角色树状模型中，用户职位称为岗位，或称用户角色，包含岗位角色的组织机构称为部门，大部门可以包含小部门。其最重要的特点是：★用户隶属于岗位/角色(可以隶属于多个岗位/角色)；

★岗位/角色具有时间范围；

★部门包含下属部门及岗位/角色中的所有用户。

用户信息以组织/部门/ 岗位角色以树状的层次结构来组织和管理，有以下好处：

★同实际组织机构体系相一致；

★同LDAP目录对数据的组织方式保持一致，便于利用LDAP 目录服务的强大进行用户目录的管理；

★有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送到单独的用户目录服务器上，提高相关应用对用户信息的访问效率；

★有利于根据目录树的结构给予不同的员工/用户组不同的权限。

2.2 级别分层树模型

级别分层树模型如下图所示，是对部门岗位角色树状层次模型的补充。

在级别分层树模型中，不同层次的节点具有上下级或涵盖关系。相同层次的节点相互独立，之间没有上下级或涵盖关系。

其最重要的特点是：

★用户只能属于一个级别；

★在同一层次节点下可以有多个级别；

★可用大于、小于或等于，以上、以下等词汇来指定多个或一个层次的级别。

利用级别分层树模型，可辅助实现更为灵活的用户授权控制。

三、用户信息存储管理

3.1 用户信息存储分类

统一的用户信息存储可基于：

◎数据库方式：支持将统一的用户信息存储于各大主流数据库中，如Oracle、DB2、SQL Server、Sybase、MySQL 等；

◎LDAP目录方式：支持将统一的用户信息存储于LDAP 目录中，如Domino、LDAP、Sun One Directory Server、OpenLDAP、MS Active Directory、Novell、NDS、Netscape Directory Server 等。

此外，可以基于LDAP 目录或数据库方式，新建一个用户信息目录库，供门户和应用系统使用；

也支持可以使用现存应用系统的已有用户数据库，作为门户和其他应用统一的用户信息存储管理库，如可以考虑基于现存的OA 办公自动化系统、或者HR

人事系统、或者一卡通系统等现有系统的RDBMS 用户数据库或LDAP 用户目录进行用户信息管理和身份验证。

鉴于基于LDAP目录服务存储和管理用户的身份认证等信息，可更有效更灵活地管理用户及资源，我们推荐采用LDAP目录服务作为各组织机构信息化建设统一用户管理的基础平台。下面主要阐述LDAP 目录服务的相关内容。

3.2L DAP目录服务定义

LDAP协议：轻量级目录访问协议(LDAP) ，英文全称是Lightweight Directory Access Protocol，是一个用于访问存储在信息目录中的信息的Internet协议，是目录服务在TCP/IP 上的实现（RFC 1777 V2 版和RFC 2251 V3 版）。它是对X500 的目录协议的移植，但是简化了实现方法，所以称为轻量级的目录服务。

LDAP 协议是跨平台的和标准的协议；实际上，LDAP 作为一种Internet 标准，得到了业界的广泛认可。

LDAP 的核心规范在RFC 中进行了定义，LDAP 协议集规定了区别名(DN)的命名方法、存取控制方法、搜索格式、复制方法、URL 格式、开发接口等，描述了客户端应该如何访问存储在服务器上的数据，但没有定义应该如何存储数据。通过使用LDAP，可以在信息目录的正确位置读取（或存储）数据。

目录服务：所谓目录服务是在分布式计算机环境中，定位和标识用户以及可用的各网络元素和网络资源，并提供搜索功能和权限管理功能的服务机制。各组织机构为了实现各个分立的“信息孤岛”走向连通和融合，一方面业务系统需要将自身的职能和业务协作要求公布出去；另一方面，也希望能够检索并获取其他业务系统的信息和公共的信息资源。这些需求采用目录服务都能够得到满足。

目录服务是其对象具有属性及名称的命名服务，是命名服务的自然扩展。目录服务与命名服务的关键区别在于，目录服务允许属性（比如用户的电子邮件地址）与对象相关联。

目录服务的核心是一个树状结构的信息目录，由一系列具有属性和名称的目录入口对象(Entry)组成，将网络中的数据资源、数据处理资源和用户信息按有次序的结构进行组织，并且专门针对海量查询的使用情况进行了优化，极大地提高